Wat u moet weten.
Koorts is één van de mogelijkse symptomen van een besmetting met het COVID-19 virus. In de strijd tegen dat virus, kunnen bedrijven overwegen om de temperatuur te meten van klanten en medewerkers, bijvoorbeeld bij het binnenkomen van hun gebouwen.
Niet elke temperatuurmeting valt onder het toepassingsgebied van de GDPR. Het meten van de temperatuur met een klassieke thermometer zonder dat enige gegevens in verband met die meting worden geregistreerd, vormt in de regel geen verwerking van persoonsgegevens. Wanneer een ziekenhuis na een temperatuurmeting weigert om een persoon met koorts als bezoeker toe te laten maar dit verder niet registreert, is er in principe geen verwerking van persoonsgegevens.
Van zodra een temperatuurmeting wordt geregistreerd (bijvoorbeeld omdat een “lock-out maatregel” in het personeelsdossier van de medewerkers in kwestie wordt genoteerd), is er wel sprake van een verwerking van persoonsgegevens. In dit geval moeten de verplichtingen onder de GDPR worden nageleefd.
Wat u moet doen.
De gegevens die worden geregistreerd in het kader van de temperatuurmeting, hebben betrekking op de gezondheidstoestand van de betrokkene. Omdat de verwerking van gezondheidsgegevens in principe verboden is, zal u in het bijzonder moeten kunnen aantonen dat u beschikt over een opheffingsgrond in de zin van artikel 9.2 GDPR:
Als de betrokkene zijn/haar uitdrukkelijke toestemming heeft gegeven voor deze verwerking, mogen zijn/haar gezondheidsgegevens worden verwerkt.
De toestemming moet echter “vrij” gegeven worden, waardoor ondernemingen zich niet steeds op deze opheffingsgrond zullen kunnen beroepen. In een arbeidsrelatie wordt er bijvoorbeeld aangenomen dat de betrokkene veelal geen “vrije toestemming” kan geven omwille van de hiërarchische relatie met zijn/haar werkgever.
Anderzijds moeten betrokkenen steeds kunnen weigeren om hun toestemming te geven zonder dat zij daardoor nadelige gevolgen ondervinden. Dit betekent dat “toestemming” geen gepaste opheffingsgrond is voor ondernemingen die temperatuurmetingen verplicht willen maken.
Als (nationale) regelgeving deze verwerking oplegt, mogen de gezondheidsgegevens van de betrokkenen op basis van die grond worden verwerkt. De Gegevensbeschermingsautoriteit meent dat zo’n opheffingsgrond noch in een arbeidscontext, noch in de schoolcontext voorhanden is. Ook in Frankrijk en Nederland lijkt zo’n verwerking niet te worden opgelegd in de regelgeving.
Daarnaast mag u uiteraard de andere verplichtingen onder de GDPR niet uit het oog verliezen. Betrokkenen moeten onder meer worden geïnformeerd over de temperatuurmeting en de daarmee nagestreefde doeleinden.